7 iemesli kāpēc personas datu aizsardzības ieviešanu nedrīkst atlikt.
Papildus visiem vispārzināmajiem un ievērojamajiem sodiem, kurus nosaka Vispārīgā datu aizsardzības
1. Reputācijas risks - uzliktie sodi un publiskā informācija par uzņēmuma datu aizsardzības pārkāpumiem noteikti ietekmēs uzņēmuma reputāciju un sagādās izdevumus.
2. Peļņas kritums - arvien vairāk potenciālo klientu un partneru izvēlās sadarboties un uzticēt savus datus tikai tādiem uzņēmumiem, kas spēj tos pilnvērtīgi aizsargāt.
3. Daudzi personas datu nozaudēšanas vai izpaušanas gadījumi notiek aiz viena uzņēmuma darbinieka neuzmanības un nezināšanas, par ko atbildību nesīs pats uzņēmums.
4. Piegādes ķēdes risks - mazie un vidējie uzņēmumi ir viegls kibernoziegumu upuris un līdz ar to iespējamais piekļuves punkts lielāku uzņēmumu IT sistēmām.
5. Darbības apturēšana - katras valsts uzraudzības iestādei ir pilnvaras uzlikt pagaidu vai galīgu datu apstrādes ierobežojumu vai pat aizliegumu, kas dažiem uzņēmumiem nozīmēs pilnīgu darbības apstāšanos.
6. Ievērojami palielinājies sūdzību skaits - datu subjekti arvien biežāk vēršas ES datu aizsardzību uzraugošajās iestādēs, lai konsultētos par GDPR un iesniegtu sūdzības par uzņēmumiem, kas neievēro viņu tiesības. Kopumā, kopš 2018
7. 43% no kiberuzbrukumiem ir vērsti uz mazajiem un vidējiem uzņēmumiem; 60
Saskaņā ar Eiropas komisijas veikto statistiku, datu subjekti arvien biežāk vēršas ES datu aizsardzību uzraugošajās iestādēs, lai konsultētos par GDPR un iesniegtu sūdzības par uzņēmumiem, kas neievēro viņu tiesības. Kopumā, kopš 2018.gada maija, iesniegtas jau vairāk kā 200 000 sūdzības.
Latvijā Datu valsts inspekcija 2021.gada pirmajos četros mēnešos ir saņēmusi 436 sūdzības par iespējams prettiesisku personas datu apstrādi, no tām 20% ir par personas datu apstrādi sociālās tīklošanas vietnēs un interneta vietņu platformās, ar lūgumu palīdzēt dzēst datus (publicēto informāciju), par situācijām, kur kāds publicējis fotogrāfijas, videoierakstu vai citu informāciju, kas ļauj identificēt indivīdu, bez šīs personas piekrišanas vai cita likumīga pamata.
Datu apstrādes reģistrs - kā to veidot un kāpēc?
Vispārīgās datu aizsardzības regulas (Regula) 30.pants nosaka, ka katram pārzinim vai tā pārstāvim ir jāreģistrē tā pakļautībā veiktās datu apstrādes darbības. Bieži vien praksē šo iekšējās kontroles rīku sauc par datu apstrādes reģistru. Minētajā reģistrā ietver visu šādu informāciju:
- pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;
- datu apstrādes nolūki;
- datu subjektu kategoriju un personas datu kategoriju apraksts;
- datu saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;
- attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un, ja nepieciešams, atbilstošo garantiju dokumentācija;
Nav obligāti, bet, ja ir iespējams:
- paredzētie termiņi dažādu kategoriju datu dzēšanai;
- tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
Pienākums reģistrēt visu minēto informāciju ir paredzēts, lai vajadzības gadījumā uzraudzības iestādēm būtu iespēja pārbaudīt kādas konkrētās vai visu datu apstrādes likumību, ieskaitot datu apstrādes juridiskos pamatus, apstrādes termiņu savietojamību ar tās nolūkiem, kā arī pārējos datu apstrādes noteicošus elementus.
Pienākums izveidot un uzturēt datu apstrādes reģistru
attiecas uz dažādu kategoriju pārziņiem: privātpersonām, privātiem un
publiskiem uzņēmumiem, iestādēm, un citām personām, kas apstrādā datu subjektu
personas datus. Kā arī ne tikai uz pārziņiem, bet arī uz apstrādātājiem.
Regulas 30(2).pants nosaka, ka katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:
- apstrādātāja vai apstrādātāju vārdi, uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds, uzvārds vai nosaukums, kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds, uzvārds un kontaktinformācija;
- katra pārziņa vārdā veiktās apstrādes kategorijas;
- attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un nepieciešamības gadījumā – atbilstošo garantiju dokumentācija;
Nav obligāti, bet, ja ir iespējams:
- tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
Atkāpe no pienākuma
Toties, ievērojot mikro, mazo un vidējo uzņēmumu īpašo situāciju, Regula paredz arī atkāpi - pienākums uzturēt datu apstrādes reģistru neattieksies nedz uz pārzini, nedz uz apstrādātāju, kuri nodarbina mazāk nekā 250 personas, izņemot, ja (i) uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, (ii) apstrāde nav neregulāra vai (iii) apstrāde ietver īpašu kategoriju datu un personas datus par sodāmību un pārkāpumiem.
Tātad, ja uzņēmums ir uzskatāms par mikrouzņēmumu ar nelielu apgrozījumu un darbinieku skaitu, taču primārā darbības veidā ietvaros regulāri apstrādā lielu personas datu apjomu, šis izņēmums uz tādu uzņēmumu neattieksies.
Par datiem, kuru apstrādi var novērtēt kā tādu, kas varētu radīt risku datu subjektu tiesībām un brīvībām, var uzskatīt datu subjekta intelektuālā īpašuma tiesības, videonovērošanu, ģeolokāciju datus, u.c.
No kā sākt
Labs veids, kā sākt, ir veikt uzņēmuma datu auditu vai datu kartēšanu (data mapping), kas palīdzēs noskaidrot, kādi personas dati ir uzņēmuma rīcībā, kur tie glabājas, ar kādu mērķi tiek apstrādāti un kam ir piešķirtas piekļuves tiesības.
Veicot tādu auditu patstāvīgi, ieteicams vispirms sākt ar personas datu kategoriju un to glabāšanas vietas noskaidrošanu. Ja uzņēmums pamatā pilda personas datu pārziņa lomu, tad sāciet auditu vai kartēšanu, sadalot uzņēmuma darbību pēc funkcijām (personāla vadība, mārketings, pārdošana, u.tml.). Ja uzņēmumam lielākoties ir datu apstrādātāja pienākumi, tad sāciet ar pārziņu apzināšanu un viņiem piederošiem personas datiem.
Tad, kad pamata informācija ir iegūta, var sākt aptaujāt nodaļas vai darbiniekus, kuru amata pienākumi vai uzdevumi ietver konstatēto datu apstrādi. Veikt aptaujas palīdzēs izstrādātas anketas, kurās nepieciešams paredzēt jautājumus par personas datu apstrādes nolūkiem, regularitāti, datu saņēmējiem, datu veidiem un datu subjektu kategorijām, u.c.
Pārbaudiet vai uzņēmumam ir izstrādātas iekšējās politikas un vadlīnijas – tie var saturēt papildus informāciju par uzņēmumā notiekošo datu apstrādi. Daudz informācijas var iegūt arī no pakalpojumu līgumiem, kuri ir noslēgti starp uzņēmumu un trešajām personām.
Ērtākais veids, kā sākt veidot ierakstus datu apstrādes reģistrā ir uzsākt darbu ar datiem, par kuru apstrādi jūsu rīcībā ir visvairāk informācijas.
Visbeidzot, ir jāatceras, ka personas datu apstrādes reģistrs nav vienreizējs dokuments. Reģistrs ir obligāti jāpārskata un jāpapildina katru reizi, kad uzņēmums sāk apstrādāt jaunus datus, izmantot esošus datus citos nolūkos, pagarina datu apstrādes termiņu vai padara datus pieejamus citām personām.Regula nenosaka kuram darbiniekam būtu jānosaka pienākums izveidot un uzturēt reģistru. Taču, lai reģistra vešana būtu sekmīga, ir iesakāms noteikt atbildīgo personu, kura pārzinās reģistrā ietvertos datus un veicinās uzņēmuma kopējo atbilstību un spēju reaģēt uz likuma izmaiņām, pieprasījumiem un sūdzībām. Uzņēmumos, uz kuriem attiecas pienākums iecelt datu aizsardzības speciālistu, šo funkciju visbiežāk pildīs pieaicinātais speciālists.
Autors: Marina Briškena, eGDPR
Datu drošība e-komercijā
Šodien visus uzņēmumus var uzskatīt par datu uzņēmumiem. Preču un pakalpojumu elektroniskās tirdzniecības veikali, jeb e-komercija (“e-veikals”) neizbēgami vāc, glabā un apstrādā indivīdu personas datus, kas nozīmē to, ka e-veikaliem ir obligāti jāievēro Vispārīgās datu aizsardzības regulas (“regula”) prasības.
E-veikali parasti apstrādā lielu personas datu apjomu un tas ir viens no iemesliem kāpēc 29.panta darba grupa (“WP29”), kuru līdz ar regulas stāšanās spēkā aizstāja Eiropas datu aizsardzības padome (EDPB), uzskatīja, ka e-komercija ir viens no sektoriem, kas rada vislielākos datu aizsardzības un privātuma riskus Eiropas savienības (“ES”) pilsoņiem.
ATBILSTĪBAS NODROŠINĀŠANA
Pats būtiskākais solis ceļā uz datu aizsardzības likumu prasību ievērošanu ir pastāvīga informētība par to, kādi personas dati ir jūsu uzņēmumā, kāpēc jūs tos vācat, kur tie tiek glabāti un kam tiek sūtīti.
Jums jāpārbauda visas datu vākšanas un apstrādes darbības, ko veicat e-veikala darbības ietvaros. Ir pilnīgi iespējams, ka tādas pārbaudes rezultātā tiks identificētas apstrādes darbības, kuras jūs vairs neveicat, un personas dati, kuri jums vairs nav nepieciešami. Pat ja jūsu e-veikals ir tikai starpnieks personas datu nodošanas procesā, jums ir pienākums apzināt šos datus un nodrošināt to aizsardzību.
Atcerieties, ka atbilstības ieviešana un uzturēšana e-veikalā nav vienreizējs uzdevums: atbilstības prasības ir jāiekļauj katrā jaunajā datu apstrādes procesā.
Regula pieprasa veikt saprātīgu darbību apjomu, lai izvairītos no datu pārkāpumiem, kā arī jau iepriekš tiem sagatavoties. Jums vajadzētu pārbaudīt savas tehniskās sistēmas, kā arī ar cilvēkiem saistītos procesus, lai identificētu faktorus, kas potenciāli varētu izraisīt datu drošības pārkāpumus.
PIRCĒJU TIESĪBAS
Tiesības saņemt informāciju
E-veikaliem ir jānodrošina, lai pircēji, viņu personas datu iegūšanas brīdī vai pirms tam, būtu informēti par to, ka e-veikals vāc, izmanto, aplūko vai citādi apstrādā viņu personas datus. Regula nosaka, ka informācijai un saziņai, kas saistīta ar minēto personas datu apstrādi, ir jābūt viegli pieejamai un viegli saprotamai, kā arī ir jāizmanto skaidra un vienkārša valoda. Turklāt, regula nosaka arī minimālo informācijas apjomu, kuru e-veikalam būtu jāziņo pircējiem. Šādu informāciju var sniegt elektroniski, piemēram, publicējot to e-veikala vietnē.
Obligāts informācijas sniegšanas priekšnosacījums - e-veikalam ir jāziņo pircējiem plānoto datu apstrādes informāciju pirms šo personas datu iegūšanas. Minētais ir nepieciešams, lai katrs pircējs spētu realizēt savas privātuma tiesības un izlemt par datu nodošanu e-veikalam, izvērtējot e-veikala sniegto informāciju. Par pareizo praksi informācijas sniegšanā tiešsaistē tiek uzskatīta personas datu apstrādes noteikumu paziņošana pircēju reģistrācijas procesa pirmajā solī, pirms pircējs tiek lūgts sniegt savus datus. Ja e-veikals neparedz pircēju reģistrāciju, iepazīšanos ar minētiem noteikumiem ir jānodrošina cita procesa ietvaros, piemērām, pirkuma noformēšanas brīdī.
Tiesības piekļūt saviem datiem
Pircējam ir tiesības pieprasīt informāciju vai attiecībā uz viņu tiek vai netiek apstrādāti personas dati, un, ja tiek, tad saņemt informāciju par to, kādus datus apstrādā e-veikals, uz kāda juridiskā pamata tos apstrādā, kā arī citu informāciju, kas skar šādu datu apstrādi. Regula nosaka, ka e-veikalam ir pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja e-veikals neplāno izpildīt nevienu šādu pieprasījumu. Nepieciešamības gadījumā šo termiņu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. E-veikalam būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus.
Svarīgi
atcerēties, ka pat tad, kad e-veikals neveic pieprasījumā minēto datu apstrādi,
vai neapstrādā datus, kas tajā minēti, šo apstākli nevar uzskatīt par pamatu
atbildes nesniegšanai uz pircēja pieprasījumu. Atbilde uz pieprasījumu ir
jāsniedz vienmēr un tā ignorēšana ir uzskatāma par datu aizsardzības likumu
normu pārkāpumu, par ko pircējs var iesniegt sūdzību uzraugošajā iestādē vai
tiesā. Ja e-veikals izmanto savas tiesības atteikt sniegt informāciju, tam
ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai
pārmērīgs.
Fizisko personu datu aizsardzības likums, kas zaudējis
spēku ar Fizisko personu datu apstrādes likuma spēkā stāšanās brīdi, paredzēja
ierobežojumu datu subjektam bez maksas saņemt rakstveidā pieprasīto informāciju
vai pamatotu rakstveida atteikumu ne biežāk kā divas reizes gadā. Taču Fizisko
personu datu apstrādes likums to vairs neparedz. Tā vietā, e-veikalam ir
jāvadās no regulā ietvertām tiesībām lūgt pircēju maksāt par sniegto
informāciju saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, ja
pircēja atkārtotie pieprasījumi rada e-veikalam administratīvos izdevumus.
Tiesības labot datus un tiesības “tikt aizmirstam”
Pircējiem ir tiesības panākt, lai e-veikals bez nepamatotas kavēšanās labotu neprecīzus pircēja personas datus, kā arī tiesības uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja (i) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti; (ii) pircējs ir atsaucis savu piekrišanu apstrādei vai (iii) iebilst pret savu personas datu apstrādi, kas balstīta uz e-veikala leģitīmajām interesēm vai sabiedrības interesēm un apstrādi, kuru realizē tiešās tirgvedības nolūkos; vai (iv) personas dati ir apstrādāti nelikumīgi; vai (v) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts e-veikala juridisks pienākums.
Turklāt, ir jāatceras, ka e-veikalam ir pienākums informēt sadarbības partnerus, kuri sniedz pakalpojumus, kas ietver pircēju personas datu apstrādi, par to, ka pircējs ir īstenojis savas tiesības labot datus vai tos dzēst.Tiesības ierobežot apstrādi
Regulas 18.pants piešķīra datu subjektiem tiesības īslaicīgi ierobežot savu personas datu apstrādi un tāpēc e-veikala pircēji var iesniegt pieprasījumu ierobežot viņu datu apstrādi ja ir viens no šādiem apstākļiem: (i) pircējs apstrīd personas datu precizitāti – uz laiku, kurā e-veikals var pārbaudīt personas datu precizitāti; (ii) apstrāde ir nelikumīga, un pircējs iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu; (iii) e-veikalam personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami pircējam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; (iv) pircējs ir iebildis pret apstrādi, kas pamatojas uz e-veikala leģitīmajām interesēm, vai kura tiek veikta sabiedrības interesēs – uz laiku, kamēr nav pārbaudīts, vai e-veikala leģitīmie iemesli nav svarīgāki par pircēja leģitīmajiem iemesliem.
Tiesības iebilst pret apstrādi
Tiesības iebilst tiek piemērotas tādai personas datu apstrādei, kuru pārzinis veic, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, vai pamatojoties uz savām vai trešās personas leģitīmajām interesēm.
Visbiežāk leģitīmās intereses kalpo par pamatu e-veikala pircēju datu apstrādei mārketinga vajadzībām, un, ja pircējs iebilst pret šādu viņu datu apstrādi, minētā apstrāde ir jāaptur.
Atbilstoši regulā noteiktajam, e-veikala leģitīmās intereses var būt apstrādes juridiskais pamats tikai tad, ja pircēju intereses vai pamattiesības nav svarīgākas par e-veikala interesēm, kā arī, ja pircējs personas datu vākšanas laikā un saistībā ar to var pamatoti sagaidīt, ka var notikt minētajā nolūkā paredzētā apstrāde. Līdz ar to e-veikalam katru reizi, pamatojot pircēju datu apstrādi ar savām leģitīmajām interesēm, ir jāveic līdzsvara pārbaude, lai līdzsvarotu savas un pircēju tiesības un brīvības.
Tāpēc, saņemot pircēju iebildumus viņu datu apstrādei citos šajā sadaļā minētajos gadījumos, e-veikalam būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par pircēju pamattiesībām un brīvībām.
Tiesības uz datu pārnesamību
Datu subjektiem ir tiesības uz datu pārnesamību tikai situācijās, kad pārzinis veic datu apstrādi ar automatizētiem līdzekļiem (i) uz datu subjekta piekrišanas pamata, vai (ii) datu apstrāde ir vajadzīga līguma izpildei; un tikai tad, ja datu pārnešana no viena pārziņa pie otrā ir tehniski iespējama.
Neskatoties uz to, ka regula neuzliek pārziņiem pienākumu izstrādāt konkrētu datu glabāšanas formātu, saskaņā ar regulas 20.pantu, datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi strukturētā, plaši izmantotā un mašīnlasāmā formātā.
Atbildot uz datu pārnešanas pieprasījumu, pārzinis darbojas saskaņā ar datu subjekta instrukcijām un nav atbildīgs par datu saņēmēja atbilstību datu aizsardzības likumu prasībām.
Tiesības, kas attiecas uz automatizētu individuālu lēmumu pieņemšanu un profilēšanu
Automatizēta lēmumu pieņemšana ir process, kura ietvaros tiek pieņemts lēmums bez cilvēka iejaukšanās tajā un kura rezultāts rada juridiskas sekas attiecībā uz datu subjektu vai ievērojami ietekmē datu subjektu – piemēram, tiešsaistē iesniegta kredītpieteikuma automātisks noraidījums. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, interesēm, uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai viņu ievērojami ietekmē.[1]
Regula nosaka, ka datu subjektiem ir tiesības nebūt tādu lēmumu subjektiem, taču atļauj automatizētu individuālu lēmumu pieņemšanu un profilēšanu, ja to atļauj citi Eiropas Savienības vai dalībvalsts tiesību akti, vai tas ir nepieciešams, lai noslēgtu vai izpildītu līgumu starp datu subjektu un datu pārzini, vai datu subjekts ir devis tam savu piekrišanu.Autors: Marina Briškena, eGDPR
GDPR ietekme uz privātumu tiešsaistē
Pasaules Ekonomikas forums vērtē pasaules datu ekonomiku 3 triljoniem USD.
Šīs nozares izaugsmi ir saasinājusi pieaugošā tādu personas datu, kā piemēram, personas interešu, atrašanās vietas, ienākumu, attiecību statusa, dzimuma, vecuma, izglītības utt., nekontrolēta vākšana, savstarpēja sasaiste un tālākpārdošana. Tāpēc konflikti starp datu vērtību un personas privātumu turpinās pieaugt.
Reklāmas tehnoloģiju uzņēmumi (Ad Tech) cenšas izvietot izsekotājus pēc iespējas vairākās vietnēs, lai optimizētu datu vākšanu. Parasti izsekošanas uzņēmumi veic arī sīkfailu (cookies) sinhronizāciju, kas ļauj apmainīt savu unikālo identifikatoru ar citiem Ad Tech uzņēmumiem, lai viņu rīcība esošus datus par lietotājiem, varētu apvienot un savstarpēji saistīt. Nav nepieciešamas īpašas zināšanas, lai saprastu, kādas sekas var izraisīt tādas vērtīgas informācijas apvienošana, kā lietotāja atrašanās vieta un viņa īstais vārds.
Nedaudz statistikas
Vispārīgā datu aizsardzības regula (GDPR) izraisīja nepieciešamību veikt izmaiņas daudzās vietnēs attiecībā uz privātuma politiku un sīkfailu (cookies) izmantošanas piekrišanu. Prasību ieviešanas pienākuma rezultāts visās ES dalībvalstīs un arī Baltijas valstīs bija atšķirīgs - saskaņā ar Horst Görtz Institute for IT Security and the Institute for Applied Work Science pētījumu*, kas analizēja 500 visbiežāk apmeklēto vietņu privātuma politikas katrā ES dalībvalstī no 2018.gada janvāra līdz jūnijam, aptuveni 74% analizēto vietņu attiecīgā privātuma politika netika mainīta līdz pat GDPR spēkā stāšanos dienai.
Saskaņā ar pētījumu, 2018.gada janvārī privātuma politika tika ieviesta tikai 59,6% no 500 apmeklētākajām vietnēm Latvijā, kas, stājoties spēkā GDPR, palielinājās par 8,8%, radot vislielāko uzņēmumu atsaucību uz jauno regulējumu no visām ES valstīm. Salīdzinājumam - pirms 2018.gada 25.maija Vācijā ieviesto privātuma politiku skaits bija 83,2%, Polijā 85,6% un Lietuvā 66%.
Cookie problēma
Viens no ievērības cienīgākajiem rezultātiem ir tādu sīkfailu paziņojumu izvietošana, kas informē lietotājus par sīkdatņu izmantošanu. Pēc GDPR stāšanās spēkā, aptuveni 62% analizēto vietņu sniedza paziņojumus par sīkdatnēm, kas ir par 16% vairāk nekā 2018.gada janvārī. Tā rezultātā sīkfailu paziņojumi kļuva par vienu no datu aizsardzības elementiem, kas ir pieaudzis saistībā ar GDPR spēkā stāšanos. Tomēr sīkfailu paziņojumi lielākoties neatbilst prasībām, jo tie nepiedāvā lietotājiem nepieciešamās iespējas atteikties no sīkdatņu lietošanas un neinformē par visām personām, kuras vāc sīkfailu informāciju vai kuriem šī informācija tiks nodota. Tādējādi ir skaidrs, ka sīkfailu piekrišanas paziņojumi atrodas problemātiskajā vietā un, lai tā nav, ir nepieciešamas skaidras vadlīnijas.
29.panta darba grupa (WP29, kuru aizstāj Eiropas Datu aizsardzības padome) uzskatīja, ka plašsaziņas līdzekļi, e-komercija un publiskais sektors rada vislielākos datu aizsardzības un privātuma riskus ES pilsoņiem. Saskaņā ar WP29 veikto minēto nozaru pārbaudi, šādu vietņu iestatīto pirmās un trešās puses sīkfailu (piemēram, Facebook vai Google AdWords) attiecība ir 29,60% pret 70,39% attiecīgi. Tomēr joprojām pastāv daudz vietņu, kas nesniedz pietiekamu informāciju par to, ka vietnē ir iestatīti trešo pušu sīkfaili, kā arī tam netiek prasīta lietotāja piekrišana vai nav nodrošināta akvalitatīva un pietiekama informācija par to. Diemžēl, 70 no 100 gadījumos mēs nezinām, kurš izseko mūsu aktivitāti tīmekļa vietnē, proti - kam šie dati tiek nodoti vai pārdoti. Papildus, veiktā pārbaude identificēja tīmekļa vietnes, kurās tika iestatīti vairāk nekā 200 (!!) trešo pušu sīkfaili un daži sīkfaili, kuru lietošanas ilgums ir gandrīz 8000 gadi (laikam, "elegants" IT humors).
Viena no populārākajām identificētajām kļūdām - tīmekļa vietnes bieži vien sāk izsekošanu pirms tiek saņemta lietotāja piekrišana sīkfailu lietošanai, kā arī dažos gadījumos sīkfailu baneris pat neparādas pirmajā lapā. Otra populārā kļūda ir netieša vai piespiedu piekrišana.
Problemātiskais pikselis
Cita nopietna problēma, kurai ir jāpievērš uzmanība, ir trešo pušu sīkfailu, piemēram, Google AdWords vai Facebook, pikseļi, kas palīdz ievietot sīkfailus tīmekļa lapā. Kad persona atsauc sniegto piekrišanu, Ad Tech pārtrauc targetētu mārketingu, taču nebeidz vākt personas datus un turpina ar pikseli saistīto personas datu apstrādi. Vienreiz ievietotos pikseļus gandrīz nav iespējams izdzēst vai bloķēt, kad tas ir nepieciešams.
Neskatoties uz daudzām neskaidrībām, GDPR ieminas par sīkfailiem tikai vienreiz 30.apsvērumā, kurā galvenokārt teikts, ka, ja sīkfailu kopā ar unikāliem identifikatoriem un citu servera saņemtu informāciju var izmantot, lai izveidotu fizisku personu profilus un tos identificēt, tas ir jāatzīst par personas datiem. Eiropas Komisija ir mēģinājusi precizēt un publicēt izsmeļošu sīkfailu veidu sarakstu, uz kuriem neattiecas pienākums saņemt lietotāja piekrišanu, kurš kopā ar vadlīnijām ir pieejams Eiropas Komisijas mājaslapā.
Padomi sīkfailu iestatīšanai:
1. Sīkfailu banerim jābūt parādītam visās vietnes lapās, lai izvairītos no situācijas, kad lietotājs pāriet uz kādu vietnes sadaļu, neizdarot savu izvēli attiecībā uz sīkfailiem un tāda iespēja pazūd no lapas.
2. Ir jābūt pieejamai saitei uz sīkfailu lietošanas politiku.
3. Pārliecinities, ka jūsu vietne neievāc sīkfailus pirms lietotājs tam ir piekritis.
4. Pārliecinieties, ka jūsu vietne pārtrauca sīkfailu ievākšanu, kad lietotājs iebilda turpmākai datu apstrādei.
5. Noteiciet sīkfailu ievākšanas un datu apstrādes termiņu, ņemot vērā principu, ka datus nedrīkst apstrādāt ilgāk nekā tas ir nepieciešams nolūkos, kuros dati tika ievākti.
6. Pārliecinities, ka sīkfailu iegūto personas datu noteikumi ir pārredzami - tie informē par visiem trešo personu sīkfailiem.
*Analysis on how the necessary changes have been implemented by enterprises on their websites.
Autors: Marina Briškena, eGDPR
Personas datu nosūtīšana uz trešajām valstīm
Ja šāds Eiropas Komisijas lēmums nav pieņemts, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.
Atbilstošās garantijas, uzraudzības iestādei neprasot īpašu atļauju, var tikt nodrošinātas ar:
a) starp publiskām iestādēm juridiski saistošu instrumentu;
b) saistošiem uzņēmuma noteikumiem;
c) standarta datu aizsardzības klauzulām, ko pieņem Eiropas Komisija;
d) standarta datu aizsardzības klauzulām, ko pieņem uzraudzības iestāde un apstiprina Eiropas Komisija;
e) rīcības kodeksu;
f) apstiprinātu sertifikācijas mehānismu.
Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai
a) datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;
b) nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;
c) nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;
d) nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs;
e) nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;
f) nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;
g) nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi.
Ja nosūtīšanu nevar balstīt uz minētiem noteikumiem un
- nosūtīšana neatkārtojas, un
- attiecas vienīgi uz ierobežotu skaitu datu subjektu, un
- ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības
nav svarīgākas, un - pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību.
Pārzinis vai apstrādātājs personas datu reģistros dokumentē novērtējumu, kā arī atbilstošās garantijas.
Pirkumu grozs
Pirkumu grozs ir tukšs.